实验拓扑图
![](https://img-blog.csdnimg.cn/direct/38ff12f6142945659799a705263acb05.png)
实验要求
1.防火墙向下使用子接口分别对应两个内部区域
2.所有分区设备可以ping通网关
to isp区域ping通
这个实验第一步先把防火墙的三个接口配好
![](https://img-blog.csdnimg.cn/direct/cbfa02d77f524ae2b188ca79dec925e0.png)
只用给个g1/0/2配网关,其他两个配ip和区域就可以,以下是g1/0/2的:
![](https://img-blog.csdnimg.cn/direct/b3acf7e7abe546cc915658a605901bea.png)
然后进入isp的路由器配个ip。因为没有写安全策略,正常无法ping通,但是把以下这个勾选上就可以了(优先级高于安全策略),其他接口都要勾上:
![](https://img-blog.csdnimg.cn/direct/ea14ff96056f48a982b50f71aea6bb66.png)
![](https://img-blog.csdnimg.cn/direct/7e27cf5eaece4b5b927550772a138bc6.png)
dmz区域
给两台服务器的网关直接设置成g1/0/0就可以了:
![](https://img-blog.csdnimg.cn/direct/2bc7f67fded84d5eaac06b99405ec076.png)
trust区域
将lsw2交换机作为三层交换机使用,同时当网关,进行如下配置:
![](https://img-blog.csdnimg.cn/direct/64b4b8191ddf4db3bf7906ad596e689b.png)
![](https://img-blog.csdnimg.cn/direct/63afdce859a642889aa901c490948b55.png)
下面的设备分别分配ip和网关,以pc1为例:
![](https://img-blog.csdnimg.cn/direct/da0b4943f839419dae5be6f92a604d45.png)
![](https://img-blog.csdnimg.cn/direct/ddd473791f3b4b71b7e76b9a381aa8c9.png)
ping通:
![](https://img-blog.csdnimg.cn/direct/c9bf839da65d42cda483106df86852f7.png)